7 天免费试用;无需信用卡
联邦学习中的隐私保护聚合 允许组织在不集中敏感数据的情况下训练机器学习模型。联合学习使参与者(例如设备或组织)能够在本地训练模型并仅共享梯度或参数等更新,而不是将数据集中在一个位置。然后安全地汇总这些更新,以保护个人数据贡献。
保护隐私的关键技术包括:
尽管采取了这些措施,但数据泄露、计算开销和监管合规性等挑战仍然存在。通信压缩、分层聚合和强大的容错等技术有助于解决这些问题。这些隐私保护方法与医疗保健和金融等行业尤其相关,在这些行业中,敏感数据必须保持安全,同时提供协作见解。
联邦学习通过三种核心技术解决隐私问题,每种技术都应对分布式机器学习中的特定挑战。让我们分解一下这些方法的工作原理以及它们的亮点。
差分隐私通过在模型更新中引入受控噪声来确保隐藏个人数据贡献。这种平衡使模型能够在保护敏感细节的同时保持有用。
“Dwork提出的差异隐私(DP)通过正式化来自私人数据的信息,可以实现可控的隐私保障。通过添加适当的噪音,DP 可以保证查询结果不会泄露有关数据的大量信息。由于其严格的制定,DP 已成为事实上的隐私标准,并适用于 ML 和 FL。”
其工作原理如下:将校准后的噪声添加到输出中,由 隐私预算 (β)。较小的 β 意味着更多的噪音和更强的隐私,而较大的 β 可以提高准确性但会降低隐私保护。在联邦学习中,参与者可能会使用不同的隐私预算,从而在更新中产生不同程度的噪音。
差异化隐私方法通常分为两类:
例如,与传统方法相比,使用分布式差分隐私训练的智能文本选择模型的记忆减少了两倍多。
接下来,让我们深入研究诸如安全多方计算之类的加密方法。
SMPC 使组织能够在不暴露个人数据的情况下协作训练模型。它通过秘密共享来实现这一目标,将数据拆分成多个部分,分布在参与者之间。任何一方都无法自行重建原始信息。
例如,加法秘密共享将数字划分为独立共享,而诸如此类的协议 SPDZ 处理更复杂的操作。但是,传统的 SMPC 方法可能需要大量通信,要求客户端与所有参与者交换秘密共享,从而导致 n 个客户端的 O (n²) 消息复杂性。较新的技术,例如 CE-FED 在各种场景下,平均将消息交换减少了90%。
SMPC 的实际应用出现在 2015 年,当时 波士顿女性劳动力委员会 与... 合作 波士顿大学的哈里里计算机研究所。使用SMPC,各公司安全地共享薪资数据,在不泄露敏感细节的情况下分析性别工资差距。分析显示,男女之间的收入差距很大。
“SMPC 往往会有大量的通信开销,但其优势在于,除非有很大一部分各方是恶意和协调的,否则即使受到无限时间和资源的追捧,输入数据也将保持私密状态。”-OpenMined
通过仅显示汇总结果,SMPC 确保个人输入保持保护,即使对手资源充足的对手也是如此。
同态加密允许在不解密的情况下对加密数据进行计算,从而提供了另一层安全性。这意味着中央服务器可以处理加密更新并返回加密结果,参与者将在本地解密这些结果。
该领域的一项显著进展是 多密钥同态加密 (MKHE),它允许每个参与者使用自己的加密密钥,从而避免单点故障。这个 CKKS (Cheon-Kim-Kim-Song)方案是一个出色的实现,支持机器学习所需的大多数代数运算。它甚至可以处理包含多达 16,384 个元素的矢量,非常适合神经网络参数更新。
与 SMPC 相比,同态加密使用更少的带宽,同时提供相似的安全性。但是,它需要更多的计算资源。一个实际的例子是 FedShe,由研究人员姚攀和郑超开发。该系统建立在联邦平均值的基础上,与其他基于同态加密的方法相比,已显示出更好的准确性、效率和安全性。
这种技术对处理高度敏感数据的行业特别有吸引力,例如医疗保健或金融。尽管计算需求仍然是一个障碍,但正在进行的研究侧重于提高效率,使其更易于大规模用例使用。
在早期的隐私保护技术的基础上,去中心化联邦学习向前迈进了一步。通过消除对集中协调的需求,它可以在参与者之间传播信任,并最大限度地减少单点故障,从而增强隐私和系统弹性。
在 集中式联邦学习 (CFL),单个服务器扮演协调者的角色。它从所有客户端收集模型更新,汇总它们,然后分发更新的全局模型。这种设置虽然简单,但也有其缺点:服务器成为通信的瓶颈和潜在的弱点,需要参与者完全信任其运行。
另一方面, 去中心化联邦学习 (DFL) 完全消除了中央服务器。在这里,客户端以点对点的方式运行,直接共享和汇总更新。这种方法不仅可以更好地处理动态和多样化的网络环境,还可以通过将敏感数据分散到多个节点来提供更强的隐私。尽管去中心化方法通常可以实现更高的准确性、精度和召回率,但在数据自然位于一个地方且隐私问题微乎其微的场景中,集中式模型可能仍然是一种切实可行的选择。
接下来,让我们探索使这些去中心化系统正常工作的安全协议和架构。
去中心化聚合依赖于旨在无需中央服务器即可实现安全协作的协议。关键区别在于训练的组织方式:CFL 使用集中式服务器进行联合优化,而 DFL 采用分布式策略,让参与者独立处理聚合。
为了确保此过程中的安全性,分散式系统通常使用诸如此类的技术 掩盖,其中噪音会添加到更新中,然后在聚合期间消除。另一种常用的方法是使用 八卦协议,参与者可以在其中与一小群邻居共享更新。这样可以确保信息有效传播,即使某些节点中断也是如此。
这些原则的实际应用的一个很好的例子是 edgeFL,该系统支持灵活的聚合机制,允许节点异步加入。这种灵活性使其更容易扩展和适应各种应用程序。
去中心化系统还必须应对可扩展性和通信效率的挑战。虽然 DFL 在不同的环境中可以很好地扩展并且能够抵御故障,但与集中式方法相比,它可能会面临较慢的收敛速度。此外,管理通信开销和处理间歇性连接可能很棘手。
为了解决这些问题,可以使用诸如此类的技巧 通信压缩 开始发挥作用。通过专注于稀疏但必不可少的梯度,这些方法可以在不牺牲准确性或隐私的情况下减少带宽使用量。例如,事实证明,与集中式系统相比,EdgeFL的通信开销减少了近十倍,后者经常难以应对影响效率和准确性的不可预测的通信模式。
但是,去中心化并非没有风险。由于涉及如此多的设备,恶意参与者试图破坏全球模型的可能性增加了。为了应对这个问题,强大 拜占庭容错能力 机制对于识别和减轻此类威胁至关重要。
平衡可扩展性和效率的另一种方法是 分层聚合,其中参与者被分成群组。每个集群先执行本地聚合,然后再将结果合并到更高级别上。这种结构在分配计算时保留了集中协调的一些好处。
有效实施分散式系统需要对网络设计、参与者可靠性和通信策略采取深思熟虑的方法。组织必须根据其硬件限制量身定制协议,谨慎地平衡效率和模型质量。对不同的数据拆分进行测试,通过智能采样或正则化解决偏差问题,以及实施分层防御都是确保稳定可靠性能的必要步骤。
保护隐私的聚合已经改变了处理敏感数据的行业的游戏规则。通过采用这些技术,组织可以在遵守严格的隐私标准的同时进行有效的协作。
使用隐私保护技术的最突出领域之一是 医疗保健。例如,五家欧洲医疗保健组织使用联合机器学习来预测慢性阻塞性肺病(COPD)患者30天的再入院风险。值得注意的是,他们达到了87%的准确率——所有这些都没有共享任何患者数据。
医疗保健合作的范围持续扩大。这个 个人健康列车 (PHT) 框架现在连接了八个国家和四大洲的 12 家医院,证明了联邦深度学习在医学成像领域的全球潜力。
在 金融服务,正在使用隐私保护方法来应对欺诈行为,同时保护客户信息。这个 DPFEDBank 框架允许金融机构使用本地差分隐私(LDP)机制协作构建机器学习模型。此外,英美PETs奖项挑战赛等举措展示了这些技术的多功能性,可以解决从金融犯罪到公共卫生危机等各种问题。
令人震惊的统计数据突显了对这些解决方案的需求:在过去的一年中,全球超过30%的医疗保健组织报告了数据泄露事件。这些示例突显了对集成隐私保护工具的高级 AI 平台的迫切需求。
像这样的平台 prompts.ai 正在加紧努力,以简化隐私保护聚合的采用。通过将多模式 AI 功能与实时协作相结合,这些平台使组织能够在不影响运营效率的情况下保护敏感数据。
一个突出的功能是该平台的即用即付代币化系统,该系统可连接大型语言模型,同时保持成本可控性。考虑到只有10%的组织制定了正式的人工智能政策,这种方法特别有价值。
尽管有好处,但挑战依然存在。例如,同态加密可以将推理延迟增加 3-5 倍。但是,已经取得了进展:将联邦学习与差异隐私相结合的系统已将成员推理攻击泄露率从传统设置的9.7%降至1.5%以下。
开源工具,例如 微软 Presidio 和 pySYFT 还帮助组织建立保护隐私的工作流程。但是,现实世界实施的复杂性通常需要全面的平台来管理这些复杂的流程。
“关键的研究挑战在于开发一个可互操作、安全且符合法规的框架,在维护用户数据机密性的同时,利用人工智能。”-Mia Cate
虽然好处显而易见,但实际实施存在障碍。由于加密方法的计算强度,扩展到大型数据集尤其苛刻。联邦环境在协调数据质量方面也面临着独特的挑战。英国国家统计局的马特·韦尔登博士解释说:
“在联邦学习中,对隐私的需求导致了协调数据规格和定义方面的数据质量挑战。”-英国国家统计局的Mat Weldon博士
应对这些挑战需要创造性的解决方案。例如,Scarlet Pets 解决方案使用 Bloom 过滤器和轻量级密码学来有效地聚合数据,即使是垂直分布的数据集也是如此。
异构客户使问题进一步复杂化。参与者之间计算能力和数据质量的差异使差分私有随机梯度下降(DP-SGD)等过程效率低下,通常需要大型数据集才能正常运行。检测恶意参与者又增加了一层难度。正如 PPMLHuskies 团队的 Sikha Pentyala 指出的那样:
“最大的差距之一是开发具有任意数据分发场景的佛罗里达通用防御技术。”-Sikha Pentyala,ppmlHuskies团队
监管合规性是另一个重大障碍。欧盟人工智能法案等新兴框架旨在根据人工智能技术对隐私、安全和基本权利的风险对其进行监管。在美国,联邦贸易委员会强调,模式即服务公司必须履行隐私承诺,避免将客户数据用于未公开的目的。
组织可以通过对公共数据集进行预训练以提高模型准确性、实施安全的输入验证以及采用数据评估技术来确保一致性等策略来应对这些挑战。与提供高级隐私解决方案的技术提供商合作还有助于保持合规性,同时促进创新。
归根结底,使命不仅限于技术。如 Publicis Sapient 说出来:
“目标不仅是保护数据,还要在人工智能领域建立信任和问责制。”-Publicis Sapient
要取得成功,就需要在技术专业知识与组织文化、监管要求和用户信任之间取得平衡。
选择正确的聚合方法取决于数据的敏感程度、可用的计算资源和安全需求等因素。
要做出明智的决定,了解这些技术在隐私、性能和应用程序方面的差异非常重要。
以下是每种方法的优势和利弊的详细介绍。
差异隐私 在隐私和性能之间取得平衡。它引入了统计噪声来保护数据,但将计算开销保持在低到中等水平,因此非常适合大型数据集和统计分析。
同态加密 是需要最高级别数据机密性的任务的首选。但是,这需要付出高昂的代价:计算速度最多可以减慢四到五个数量级。这使其成为性能不是主要考虑因素的高敏感应用程序的理想之选。
安全多方计算 (SMPC) 允许多方一起计算函数,而无需暴露各自的输入。虽然它通常比同态加密更快,但随着参与者数量的增加,其性能可能会下降。
集中聚合 易于实现且在可信环境中运行良好。但是,由于依赖单一控制点,它容易受到故障或攻击,因此不太适合不可信的场景。
去中心化聚合 将风险分散到多个节点,提高容错能力和弹性。它对于在不太安全的环境中运行的大型网络特别有效。该方法还通过增强可扩展性和抵御攻击的能力来补充其他隐私措施。
当涉及到实现的复杂性时, 同态加密 是最苛刻的,需要专业的专业知识。 SMPC尽管也很复杂,但受益于使其更易于访问的框架和工具的可用性。 差异隐私另一方面,通常是最容易实现的。
归根结底,选择取决于贵组织的优先事项。如果您处理高度敏感的数据,则可能会接受同态加密的较慢性能。就可扩展性和容错性而言,去中心化方法更合适。同时,差分隐私提供了安全性、性能和简单性的实际组合,尤其是在统计任务方面。
这种比较为根据您的需求选择正确的技术奠定了基础,并为探索实施挑战奠定了基础。
保护隐私是联邦学习的基石。如果没有适当的保障措施,协作式 AI 培训可能会泄露敏感数据,使个人和组织都处于危险之中。
诸如此类的技巧 差异隐私, 同态加密, 安全的多方计算,以及 去中心化聚合 共同努力,确保数据保持安全,同时实现有效的 AI 协作。通过结合这些方法,组织可以在不牺牲隐私的情况下创建支持高级人工智能应用程序的安全系统。
医疗保健和金融等行业已经展示了如何成功应用这些方法。例如,它们已被用来开发诊断模型和改善欺诈检测,同时遵守严格的隐私法规。随着围绕数据隐私的法律继续收紧——要求数据收集合法、有限和针对特定目的——这些技术对于合规变得越来越重要。
成功实施的关键在于根据特定需求量身定制这些方法。例如,处理高度敏感数据的组织可能会优先考虑同态加密的强大安全性,即使它会影响性能。另一方面,那些需要可扩展性的人可能会倾向于具有差异隐私的去中心化系统。在许多情况下,结合多种技术的混合方法在隐私和功能之间取得了最佳平衡。
像 prompts.ai 这样的平台为旨在采用这些方法的组织提供了实用的解决方案。借助加密数据保护和多模式 AI 工作流程等工具,prompts.ai 有助于将隐私保护技术集成到协作 AI 系统中。与大型语言模型的兼容性等功能可确保这些系统保持安全和最前沿。
人工智能协作的未来取决于在保护数据的情况下集体训练模型的能力。隐私保护聚合不仅可以保护敏感信息,还可以为下一代安全、协作的 AI 进步铺平道路。
联邦学习,结合 隐私保护技术,通过确保数据保留在本地设备上,将数据安全性提升到一个新的水平。它不向中央服务器发送原始数据,而是仅共享加密的模型更新。这种方法显著降低了数据泄露或未经授权访问的机会。
另一方面,传统的集中式机器学习在单个服务器上收集和存储原始数据,使其更容易受到黑客攻击和隐私侵犯。联邦学习通过整合诸如此类的方法更进一步 差异隐私 和 安全聚合。这些技术增加了额外的保护层,可以很好地保护用户信息,同时仍能提供有效的模型性能。
同态加密 (HE) 因其能够直接对加密数据执行计算,从而提供高度的安全性而脱颖而出。但是,这种方法有一个缺点——它需要大量的计算能力,这可能使其不太适合处理大规模的联邦学习模型。
另一方面,差分隐私 (DP) 采取了不同的方法,在数据或模型更新中引入噪音。与 HE 相比,这使其更有效率和可扩展性。但是有一个问题:如果添加过多的噪点,模型的准确性和实用性可能会受到打击。
挑战在于在两者之间找到正确的平衡 隐私、准确性和效率。HE 提供了无与伦比的安全性,但在可扩展性方面存在困难,而 DP 更易于实现,但需要精确调整以避免为了隐私而牺牲准确性。
为了满足监管要求,组织需要采用以隐私为中心且符合法律的聚合方法,例如 GDPR 和 CCPA。这意味着优先考虑最小化数据并确保明确的用户同意。诸如此类的技巧 安全的多方计算 和 同态加密 可以在聚合过程中保护敏感数据,而输出隐私措施则有助于防止未经授权的数据见解。
定期进行审计和持续进行合规检查也至关重要,尤其是对于在多个法律管辖区运营的企业而言。跟上不断变化的法规并根据地区法律定制实践不仅可以确保合规,还可以增强对联邦学习计划的信任。
